Обзор важных материалов по ИБ 04.08.2025

Государственные инициативы.

• Правительство сформулировало новые задачи своего аналитического центра. Аналитический центр при правительстве получил несколько новых приоритетных направлений работы – мониторинг исполнения единого плана достижения национальных целей развития РФ, сопровождение задач правительства в области цифровой трансформации государственных услуг, развития технологий искусственного интеллекта и др., сообщает government.ru во вторник. Так, в рамках мониторинга единого плана по достижению национальных целей развития РФ на период до 2030 года и на перспективу до 2036 года Аналитический центр обеспечит контроль его реализации в режиме реального времени. В части электронных госуслуг будет сделан акцент на оказание услуг по принципу «жизненных ситуаций». В рамках федерального проекта «Государство для людей» АЦ продолжит работу над оптимизацией федеральных и региональных услуг, обеспечивая методическую и аналитическую поддержку. АЦ также будет сопровождать реализацию региональных «жизненных ситуаций» и оценивать их соответствие утверждённому стандарту. Центр развития искусственного интеллекта, созданный на базе аналитического центра, обеспечит информационно-аналитическое и организационно-техническое сопровождение, координацию и поддержку внедрения технологий ИИ в госуправление. В перечень приоритетных направлений деятельности АЦ также внесены сопровождение реализации проекта «Гильотина 2.0» (речь о регуляторной гильотине – ред.) и обучение студентов по образовательным программам вузов для топ-специалистов по направлениям искусственного интеллекта и информационных технологий. Всего у центра более 20 направлений работы, говорится в сообщении.

• С 1 августа россияне смогут законно послать спамеров. Навсегда. Больше никакого «здравствуйте, это служба…» — только с вашего разрешения. С 1 августа 2025 года в России вступает в силу закон, который даёт гражданам право отказываться от массовых рассылок и обзвонов. Об этом РИА Новости сообщил член комитета Госдумы по информационной политике, федеральный координатор проекта «Цифровая Россия» Антон Немкин. Согласно новому порядку, отказаться от получения массовых вызовов и сообщений можно будет через личный кабинет на сайте оператора связи или в мобильном приложении. Как пояснил депутат, управление станет «максимально простым и доступным», а внедрение этой функции должно сократить объём спама и повысить комфорт пользователей в цифровом пространстве. С сентября 2025 года вступает в силу дополнительное требование: массовые обзвоны будут возможны только с согласия абонента. Кроме того, на портале «Госуслуги» появится специальный сервис, через который можно будет подать жалобу, если спам продолжит поступать даже после отказа от рассылок. Антон Немкин отметил, что массовые рассылки часто используются как первый этап мошеннических атак — через SMS, push-уведомления или звонки пользователям предлагают «выгодные» услуги, фальшивые компенсации или просят перейти по вредоносной ссылке. По его словам, новая система официального отказа от таких сообщений поможет сократить количество подобных инцидентов и укрепит цифровую гигиену.

• Нарушители будут включаться в реестр ОРИ принудительно – проект приказа. Для общественного обсуждения опубликован проект приказа Роскомнадзора, актуализирующий порядок ведения реестра организаторов распространения информации (ОРИ) в Интернете. Как поясняет регулятор, изменения в проекте нового порядка относятся к тем ОРИ, кто вовремя не уведомил Роскомнадзор о начале своей деятельности. Раньше за нарушения правил уведомления ОРИ могли быть привлечены только к административной ответственности и при этом оставаться в неопределённом статусе вне правового поля. Теперь после повторного нарушения (отсутствие реакции на уведомление) на основании решения суда ОРИ получает штраф и принудительно включается в реестр. Норма о том, что при повторном непредставлении уведомления о начале деятельности компания или физлицо включаются в реестр ОРИ принудительно, была зафиксирована постановлением правительства в июле прошлого года. Напомним, организатором распространения информации в Интернете является лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приёма, передачи, доставки и (или) обработки электронных сообщений пользователей Интернета. ОРИ обязан по требованию Роскомнадзора в течение 10 рабочих дней направить регулятору уведомление о начале такой деятельности. Также ОРИ может предоставить уведомление регулятору по собственной инициативе. Роскомнадзор для учёта ОРИ ведёт их реестр. У включённых в реестр лиц имеется ряд обязанностей, которые они должны исполнять по закону.

• MAX стал обязательным звеном при работе с электронной подписью. Работа с электронной подписью в России скоро изменится. Теперь все документы, которые раньше приходили в приложение «Госключ» напрямую, будут сначала поступать через национальный мессенджер MAX. Так власти хотят не только «упростить процесс», но и — не скрывают — увеличить аудиторию мессенджера. 24 июня Владимир Путин подписал закон о национальном мессенджере. А уже в июле премьер Михаил Мишустин официально утвердил: этим мессенджером станет MAX, за который отвечает структура «ВКонтакте» — «Коммуникационная платформа». Согласно новому порядку, все юрлица, ИП и физлица, использующие усиленную квалифицированную или неквалифицированную электронную подпись (УКЭП и УНЭП), будут взаимодействовать с документами через MAX. Подписание по-прежнему происходит в «Госключе», но путь документа к пользователю теперь лежит через мессенджер.
• Как это будет работать? Раньше схема была простой: документ приходил в «Госключ», пользователь его подписывал. Теперь, как объясняют в Минцифры, он сначала попадает в чат MAX, а уже оттуда — в «Госключ» на подписание. Всё это должно происходить «бесшовно». Например, если банк хочет отправить клиенту договор на подписание — он направляет его через MAX. А человек, получив документ, перенаправляет его в «Госключ» и ставит подпись. Есть исключения? Да. Требование не распространяется на государственные органы — что именно под этим подразумевается, в Минцифры не уточнили. Но известно, что документы от «Госуслуг», как и раньше, будут поступать напрямую в «Госключ». Также источник РБК из сферы ИБ уточняет: речь идёт в первую очередь о документах от коммерческих организаций — например, договорах с банками, сделках с недвижимостью, сим-картах и т. п.

• Президент России подписал ряд имеющих отношение к IT законов. Закон о блокировке авансовых счетов абонентов сотовой связи, оптимизация процедур лицензирования, изменения в правила ведения реестра отечественного программного обеспечения (ПО) – президент России подписал ряд важных законов, связанных с IT. 1. Поправки в закон «О связи», направленные на повышение оперативности и эффективности противодействия преступлениям, связанным с хищением и выводом денежных средств с использованием информационно-телекоммуникационных технологий. 2. Закон о постоянном закреплении результатов эксперимента по оптимизации и автоматизации процессов разрешительной деятельности, в том числе лицензирования. Напомним, постановление № 1279 о проведении эксперимента было подписано 30 июля 2021 года. Это стало началом первого этапа реформы лицензионно-разрешительной деятельности, в процессе которого федеральные и региональные органы власти подключались к электронному взаимодействию, чтобы выдавать лицензии и разрешения по электронным заявлениям. С тех пор предпринимателям для получения разрешений и лицензий, за которые ответственны участники эксперимента, достаточно подать электронное заявление на едином портале госуслуг (ЕПГУ) без необходимости сканировать и прикладывать большое количество документов. Подписанный закон предусматривает внесение необходимых изменений в 57 федеральных законов. 3. Изменения в правила ведения реестра отечественного ПО. Законом устанавливается особый порядок включения в реестр ПО, права на которое принадлежат правительству Москвы; уточняются требования к оператору реестра; вводятся новые термины: «перечень ПО, разработанного для собственных нужд», «перечень доверенного ПО»; и др. Закон вступит в силу 1 марта 2026 года.

Инциденты и угрозы.

• ИИ научился взламывать без человека – большие языковые модели проводят кибератаки самостоятельно. Научная фантастика больше не фантастика. Исследователи из Университета Карнеги-Меллона совместно с компанией Anthropic показали: искусственный интеллект на базе языковых моделей (LLM) способен самостоятельно планировать и осуществлять кибератаки. Без подсказок, без ручного ввода команд — всё полностью автономно. Эксперимент поставил LLM в роль киберзлоумышленника. Модель проанализировала структуру корпоративной сети, нашла уязвимости и провела поэтапную атаку — с проникновением, разведкой и эксплуатацией. И всё это — без участия человека. ИИ не просто исполнил задачу, а сам принял решения в реальном времени, демонстрируя высокий уровень «осознанности». Возможности — пугающие и одновременно многообещающие. Такой ИИ легко может быть использован злоумышленниками для массовых, быстро масштабируемых атак. Но та же технология способна стать оружием обороны: LLM можно обучить находить слабые места в системах до того, как это сделают настоящие хакеры. Открытия были представлены на официальной странице исследовательской группы и в препринте на arXiv. Этот прорыв — тревожный сигнал для специалистов по безопасности: в эпоху автономных ИИ пора менять сами принципы киберзащиты.

• Трамп урезал защиту на $1.2 млрд, но добавил $1 млрд на атаки. Один закон обрушил американскую систему — другой уже строит её заново. В первые месяцы нового президентского срока Дональда Трампа федеральное правительство США резко сократило расходы на кибербезопасность. Под сокращения попали бюджеты, штат сотрудников и целый ряд инициатив, направленных на защиту цифровой инфраструктуры. Эти шаги вызвали тревогу у ряда представителей власти на местах, включая главного специалиста по кибербезопасности штата Нью-Йорк Колина Ахерна и губернатора Кэти Хокул, которые публично выразили обеспокоенность последствиями таких решений. Ахерн, выступая от имени администрации Нью-Йорка, отметил, что действия Белого дома подрывают способность страны противостоять внешним киберугрозам. Особое недовольство вызвал принятый в июле так называемый «Big Ugly Bill» — главный финансовый акт администрации, который значительно урезал финансирование ключевых киберструктур. Из бюджета Агентства по кибербезопасности и инфраструктурной безопасности (CISA) было изъято 135 миллионов долларов, а общие сокращения по линии всех федеральных ведомств превысили 1,2 миллиарда. Одновременно в документе предусмотрено выделение миллиарда долларов на наступательные кибероперации за рубежом в течение следующих четырёх лет.

• Cobalt Strike возвращается: злоумышленники атакуют российские организации, размещая вредоносный код на GitHub и в соцсетях. «Лаборатория Касперского» обнаружила новые случаи кибератак на российские организации с использованием Cobalt Strike Beacon — инструмента для удалённого управления устройствами, который в том числе позволяет красть конфиденциальные данные. Для обхода обнаружения и запуска вредоносного ПО злоумышленники размещают зашифрованный код в профилях на легитимных сервисах, таких как GitHub, а также в соцсетях. Подобные кибератаки впервые начались во второй половине 2024 года — они затронули Россию, Китай, Японию, Малайзию и Перу. К 2025 году активность злоумышленников пошла на спад, однако специалисты продолжили фиксировать точечные всплески. В июле эксперты обнаружили новые вредоносные файлы, нацеленные только на российские предприятия — в основном крупный и средний бизнес. Сначала злоумышленники рассылают фишинговые письма, имитирующие сообщения от крупных государственных компаний (в частности, из нефтегазового сектора), которые якобы заинтересованы в продуктах или услугах организаций-жертв. Во вложении находится вредоносный архив с файлами, замаскированными под PDF-документы с описанием требований, необходимых для ознакомления. На самом деле среди них есть исполняемые файлы типов EXE и DLL, содержащие вредоносное вложение. Чтобы запустить зловред, атакующие используют распространённый метод подмены DLL (Dynamic Link Library), а также легитимную утилиту для отправки отчётов о сбоях — изначально она была создана для разработчиков, чтобы получать информацию о проблемах в работе приложений в режиме реального времени. В результате манипуляций атакующих она открывает вредоносный файл вместо легитимного. Чтобы вредоносное ПО могло далее функционировать, оно извлекает и загружает код, который хранится в зашифрованном виде в публичных профилях на популярных легитимных платформах. Специалисты «Лаборатории Касперского» обнаружили его в репозиториях на GitHub, кроме того, ссылки на него в зашифрованном виде содержались внутри профилей на GitHub, Microsoft Learn Challenge, Quora, а также в российских соцсетях. Все эти профили и страницы были созданы специально для осуществления кибератаки. После выполнения вредоносного кода на устройствах жертв запускается Cobalt Strike Beacon — и системы оказываются скомпрометированы. «Мы не обнаружили свидетельств того, что злоумышленники взламывали аккаунты реальных людей, и полагаем, что все учётные записи были специально созданы для кибератак. При этом отмечу, что они могли задействовать цифровые платформы и по-другому. Например, разместить вредоносный контент в комментариях к сообщениям легитимных пользователей. Эти примеры подтверждают, что схемы атак усложняются несмотря на то, что инструменты остаются прежними. Поэтому компаниям для обеспечения надежной защиты важно следить за актуальными данными о киберугрозах и осуществлять постоянный мониторинг состояния как цифровой инфраструктуры, так и всего периметра организации», — комментирует Максим Стародубов, эксперт по киберугрозам «Лаборатории Касперского».

• Как украсть всё через Telegram и не попасться: Raven Stealer показывает пример. Как Raven Stealer превратил Telegram в командный пункт для кражи данных. На фоне растущей активности вредоносных кампаний, использующих легитимные каналы связи в обход традиционных защит, в поле зрения ИБ-специалистов попал новый инструмент — Raven Stealer. Эта программа для кражи информации появилась в июле 2025 года и уже распространилась через Telegram и GitHub, вызвав интерес не только из-за своей функциональности, но и благодаря сочетанию скрытности, лёгкости использования и эффективного способа доставки украденных данных. Сейчас Raven активно обсуждается в среде аналитиков угроз, поскольку демонстрирует, как простыми средствами можно обойти антивирусы и встроенные механизмы защиты браузеров. Raven Stealer разработан на Delphi и C++ и ориентирован на Windows-системы. Он собирает логины, платёжные данные и автозаполнения из Chromium-браузеров, включая Chrome и Edge. Вредонос распространяется через Telegram-канал ZeroTrace под видом «учебного инструмента» и позволяет даже неопытным пользователям запускать кражу данных с помощью встроенного генератора сборок. Telegram используется и как канал для передачи похищенной информации, что исключает необходимость в классическом C2-сервере.

• В России заблокирован Speedtest – почему. Сервис Speedtest для измерения скорости передачи данных американской компании Okkla, практиковавший негласный сбор пользовательских данных, заблокирован в России, сообщает РИА Новости со ссылкой на Роскомнадзор. Основанием для блокировки стало постановление правительства РФ № 127 от 12.02.2020, утвердившее правила централизованного управления сетью связи общего пользования – в связи с выявленными угрозами безопасности работы сети связи общего пользования и российского сегмента Интернета. Помимо негласного сбора информации о пользователях, Speedtest, будучи популярным в России сервисом, располагает большими данными о топологии и технических характеристиках отечественных цифровых сетей, а также потребителях трафика. Эти данные могут быть использованы зарубежными организаторами кибератак.

• Джек Дорси взорвал App Store новым мессенджером. Почему его уже называют «кошмаром для безопасности»? Никакой регистрации, никакой защиты. Какие риски несёт такая «анонимность»? Новая разработка Джека Дорси , получившая название Bitchat , неожиданно ворвалась в App Store и вызвала оживлённую дискуссию — не столько из-за инноваций, сколько благодаря личности её создателя. Основатель Twitter* и Block лично написал основу приложения всего за выходные в начале июля, после чего оно стало доступно для загрузки на iOS. Основной акцент был сделан на простоте и приватности, но за этим минимализмом скрылись риски, которые уже начали обнажаться. Главная особенность Bitchat — это полное отсутствие зависимости от интернета. Программа работает на базе Bluetooth mesh-сети, позволяя пользователям обмениваться сообщениями без Wi-Fi и мобильной связи, если они находятся в пределах досягаемости — примерно 100 метров. Такой подход делает приложение особенно полезным в условиях слабого сигнала, например, на фестивалях, в горах или во время стихийных бедствий. Примеры подобных решений уже существовали — например, приложение Bridgefy активно использовалось во время протестов в Гонконге, когда была важна недоступность для перехвата через интернет. Интерфейс у Bitchat предельно аскетичный: никакой регистрации, логина или профиля. Пользователь сразу попадает в чат и может задать себе любое имя, менять которое можно сколько угодно раз. Всё это делает опыт общения лёгким и практически анонимным, но одновременно открывает лазейки для злоупотреблений.

• Новая программа-вымогатель атакует российские компании. Компания F6 сообщила о новой угрозе для российских организаций — программе-вымогателе Pay2Key. Весной 2025 года было зафиксировано как минимум три кампании, нацеленные на российские организации в сферах ритейла, финансов, ИТ и строительства. По данным аналитиков департамента киберразведки (Threat Intelligence) F6, вымогательский сервис Pay2Key распространяется на киберпреступных русскоязычных форумах по модели RaaS (Ransomware as a Service) с конца февраля 2025 года. Несмотря на запрет многих теневых площадок атаковать российских пользователей, злоумышленники применяли шифровальщик для атак целей в России. Так, система F6 MXDR обнаружила и заблокировала рассылки, относящиеся как минимум к трем фишинговым кампаниям, которые были нацелены на российских пользователей. Мартовская и майская кампании были направлены на ритейл, организации в сфере строительства и разработки программного обеспечения, а целью апрельской атаки стала сфера финансов. Темы вредоносных писем были разнообразными: от коммерческого предложения и подтверждения учетных данных до «забора с колючей проволокой» и «памятника для мемориального комплекса скважины». Кроме фишинговых рассылок в арсенале атакующих были обнаружены самораспаковывающиеся архивы, легитимные инструменты и продвинутые способы обхода антивирусной защиты. Сама вредоносная программа Pay2Key построена на базе Mimic –семейства ВПО с одной из самых сложных схем шифрования, которое активно используется для атак на российский малый бизнес.

• H20 прилетел с миром, а вышел с досье: Nvidia уличают в создании чипа с кнопкой “выкл” извне. В Пекине ждут объяснений, кто им управляет. Китайский регулятор вызвал представителей Nvidia для разъяснений по поводу «серьёзных проблем безопасности» в её чипах, предназначенных для китайского рынка. Управление по делам киберпространства Китая (CAC) заявило, что американские специалисты по ИИ обнаружили у Nvidia функции отслеживания местоположения и возможность удалённого отключения оборудования. Под подозрение попал H20 — чип, разработанный специально для поставок в Китай с учётом экспортных ограничений США. CAC потребовало от Nvidia объяснить потенциальные риски и предоставить техническую документацию. Инцидент произошёл на фоне попыток Nvidia восстановить позиции в Китае после того, как США в июле разрешили экспорт H20. Глава компании Дженсен Хуанг вскоре прибыл в Пекин, где провёл встречи с чиновниками и клиентами, подчеркнув приверженность компании китайскому рынку. Он также представил новую видеокарту на базе архитектуры Blackwell, соответствующую американским ограничениям.

• Секретные разработки для ядерного оружия стали open source для хакеров. CISA рассекретила мощную киберплатформу для охоты на хакеров. Агентство по кибербезопасности и защите инфраструктуры США (CISA) объявило о выходе в открытый доступ мощной аналитической платформы Thorium, предназначенной для специалистов по цифровой криминалистике и анализу вредоносных программ. Новая разработка, созданная при участии Лос-Аламосской национальной лаборатории Sandia, ориентирована на аналитиков из государственных структур, частных компаний и научного сообщества, которым требуется быстрое и масштабируемое средство автоматизации расследований кибератак. Thorium представляет собой гибкую инфраструктуру, способную выполнять свыше 1700 задач в секунду и обрабатывать до 10 миллионов файлов в час на каждую группу с разрешением. Благодаря встроенной поддержке масштабирования с использованием Kubernetes и распределённой базы данных ScyllaDB, система адаптируется под самые разнообразные сценарии нагрузки, включая массовую обработку подозрительных объектов. Платформа проектировалась с учётом реальных потребностей служб реагирования на инциденты. Она позволяет на лету подключать любые инструменты анализа — от open-source решений и проприетарных CLI-утилит до кастомных скриптов, размещённых в контейнерах Docker. Встроенные средства тегирования и полнотекстового поиска позволяют быстро фильтровать результаты, а строгая система контроля доступа обеспечивает изоляцию данных между различными группами пользователей.

• ИИ-ассистент взломает любого по заказу. Достаточно одного хитрого сообщения в чате. В Cursor обнаружена критическая брешь для тихих атак без вложений, вирусов и ссылок. В редакторе исходного кода Cursor, использующем искусственный интеллект для помощи программистам, была обнаружена критическая уязвимость, получившая идентификатор CVE-2025-54135 и условное название CurXecute. Она присутствует почти во всех версиях IDE и позволяет удалённо выполнять произвольные команды с правами пользователя — достаточно лишь сформировать вредоносный запрос к агенту. Cursor поддерживает протокол Model Context Protocol (MCP), с помощью которого встроенный ИИ-ассистент может подключаться к внешним источникам данных — таким как Slack, GitHub или базы данных — и выполнять их команды на основе обычного текста. Как пояснили в Aim Security, именно возможность взаимодействия с внешними системами превращает агента в уязвимый компонент, поскольку он начинает обрабатывать недоверенную информацию, которая может изменить его поведение. Уязвимость связана с так называемой атакой через внедрение подсказки — техникой, при которой специально подобранный текст заставляет ИИ выполнять команды, не предназначенные пользователем. Подобные механизмы ранее уже применялись, в частности, в Microsoft 365 Copilot, где аналогичная уязвимость позволяла извлекать конфиденциальные данные без участия пользователя. Проблема усугубляется тем, что код от ИИ зачастую содержит уязвимости, которые разработчики не замечают.

Исследования.

• Шпионаж остаётся главной целью половины атакующих Россию кибергруппировок — BI.ZONE. Доля совершаемых с целью шпионажа атак продолжает расти: в 2023 году этот показатель составил 15%, к концу 2024 — 21%, а по итогам первой половины 2025 года достиг рекордных 36%, сообщает BI.ZONE в понедельник. Наряду со шпионажем растёт и доля хактивизма: в 2025 году каждая пятая атака носила идеологический характер. Годом ранее этот показатель составлял лишь 14%. Как правило, кибершпионы обладают высокой квалификацией, активно экспериментируют с методами и инструментами, используют ВПО собственной разработки, в том числе дорабатывают исходный код публичных вредоносных программ. Всё для того, чтобы как можно дольше оставаться незамеченными в скомпрометированной IT-инфраструктуре, а в дальнейшем максимально затруднить работу исследователей. Хотя атак с целью шпионажа становится больше, основной мотивацией злоумышленников остаётся финансовая выгода, поскольку атаковать ради вымогательства можно практически любую организацию, вне зависимости от отрасли. Госсектор по-прежнему остаётся ключевой целью кибершпионов. За первые шесть месяцев 2025 года на долю госсектора пришлось 29% всех совершаемых ради шпионажа атак. Ранее этот показатель составлял 17%. В тройку самых атакуемых отраслей также вошли инженерия (13%) и IT (8%), говорится в сообщении.

• Работаешь головой? Учись держать швабру — нейросети уже в твоём кресле. Microsoft составила список аутсайдеров на рынке труда. Найдёте себя? В новой работе исследователи Microsoft попытались определить, какие профессии наиболее подвержены риску автоматизации с помощью генеративного ИИ — и результаты оказались весьма неутешительными для представителей интеллектуального труда. В основе анализа лежит массив из 200 тысяч анонимизированных диалогов пользователей с Bing Copilot, прошедших предварительную очистку от персональных данных. Изучив характер запросов и способы их решения моделью, авторы сформировали так называемый «индекс применимости ИИ» — метрику, оценивающую, насколько активно и успешно технологии уже используются в конкретных сферах занятости. Наибольшую уязвимость продемонстрировали профессии, связанные с передачей информации, консультированием, написанием текстов, преподаванием и переводами. В список наиболее подверженных автоматизации попали писатели, историки, авторы, лингвисты, специалисты по продажам и сотрудники клиентской поддержки. Напротив, наименьший риск затронул те виды деятельности, где задействованы физические усилия и моторные навыки: речь идёт о машинистах тяжёлой техники, домработницах, массажистах, кровельщиках, операторах лодок и посудомойщиках. Глобальный вывод оказался парадоксальным: сферы с более высокой оплатой, где требуется когнитивная нагрузка, оказались в большей степени под угрозой вытеснения ИИ, чем низкооплачиваемый ручной труд. Однако авторы подчёркивают: несмотря на то, что такие профессии активно используют нейросети, это не означает, что искусственный интеллект способен выполнять весь объём задач в рамках конкретной должности. Как минимум, технология пока не может охватить все аспекты деятельности ни одной профессии полностью.

• В России всплеск спроса на услуги хакеров-наемников Бизнес массово привлекает киберпреступников для устранения конкурентов. Российский бизнес начал очень активно сотрудничать с теми, кто представляет угрозу их собственной инфраструктуре. Теперь они нанимают хакеров, чтобы те расправлялись с их конкурентами. Рост заказных взломов в России растет бешеными темпами. Нанять «киберкиллера». В России зафиксирован колоссальный рост заказных хакерских атак на ИТ-инфраструктуры компаний – во II квартале 2025 г. их стало на 26% больше, нежели годом ранее. Киберпреступники работают по заказу самих этих компаний – отечественные бизнесмены нанимают их, чтобы нанести урон своим конкурентам, пишут «Известия» со ссылкой на гендиректора компании «Нейроинформ» Александра Дмитриева. Стремление компаний подпортить жизнь конкурентам путем вывода из строя их ИТ-инфраструктуры при помощи хакеров фиксируется во множестве отраслей экономики, но больше всего таких «мероприятий» происходит в сфере промышленности. На предприятия из этой сферы за отчетный период пришлось 36% заказных атак. Второе место с долей 28% удерживают финансовые организации. Замыкают топ-3 ИТ-компании 16%. Далее следуют образовательные и научные учреждения – 12% и 8% соответственно.  Взлом и кража. Уничтожение инфраструктуры конкурента – далеко не единственная цель, преследуемая российскими бизнесменами при найме хакеров. Помимо прочего, их также очень интересует информация, которая таится в их компьютерных сетях, и которая может пригодиться в конкурентной борьбе. Наряду с этим бизнес стремится получить доступ к базе клиентов своих конкурентов, чтобы в дальнейшем предпринять попытки их переманить.

• Новая эра гибридных атак разблокирована. Миниатюрные устройства вроде Raspberry Pi, спрятанные в инфраструктуре банкоматов и управляемые через 4G, становятся новым, крайне опасным вектором атак. Исследователи обнаружили, что хакерская группировка UNC2891 (она же LightBasin), использовала Raspberry Pi с поддержкой 4G для проникновения в сеть банка и обхода защитных систем. Михаил Спицын, эксперт в области кибербезопасности и инженер-аналитик компании «Газинформсервис», подробно описал суть угрозы и отметил, что цель подобных атак — не просто доступ, а манипуляция транзакциями, что даёт прямую монетизацию и что сложнее заметить. Хотя атака LightBasin не удалась, инцидент стал редким примером продвинутой гибридной атаки (сочетающей физический и удалённый доступ), где также использовалось сразу несколько методов антифорензики. «Вектор начинается с физического доступа и продолжается удалённо по 4G. Недорогие устройства вроде Raspberry Pi, Bash Bunny или Pwn Plug легко спрятать в банкоматной стойке или шкафу со свичом», — объяснил эксперт. Спицын продолжил: «Рекомендую обеспечивать комплексную безопасность. Например, решение Efros Defence Operations NAC способно закрыть именно тот “физико-сетевой” вектор, по которому LightBasin занесли Raspberry Pi в банкоматный свич. В модуле NAC реализован централизованный RADIUS-контроль с профилированием устройств и поддержкой TACACS+, что позволяет жёстко описать, какие MAC- и сертифицированные 802.1X-участники имеют право “проснуться” на конкретных порт-VLAN’ах банкоматной стойки. Кроме того, сама платформа интегрируется с SIEM, например с Ankey SIEM NG. Такая синергия обеспечивает полный контекст при расследовании: какой порт был активирован, кем, какие конфигурации на свиче изменились».

• ИИ пишет код быстрее человека. Но каждый второй файл — дыра в безопасности. 100 моделей ИИ протестировали на безопасность. Почти все провалились. Искусственный интеллект всё чаще становится помощником программистов, но исследование Veracode показало: за удобством кроется угроза безопасности. Анализ 100 крупных языковых моделей (LLM) выявил тревожную закономерность — почти в половине случаев модели генерируют уязвимый код.  Согласно отчёту Veracode, в 45% задач сгенерированный код содержал известные уязвимости. И это касается даже новых и мощных моделей. За два года ситуация практически не изменилась, несмотря на технологический прогресс.  Тестирование проводилось на 80 задачах по четырём языкам программирования — Java, JavaScript, C# и Python. Проверялись наиболее распространённые уязвимости: SQL-инъекции, XSS, лог-инъекции и использование небезопасной криптографии. Худшие результаты показал Java: только 28,5% решений были безопасны. Лучшими оказались Python (61,7%) и JavaScript (57%). Разработчики связывают это с качеством обучающих данных — Java часто использовался в эпоху до активного изучения SQL-инъекций, и модели могли “научиться” плохим примерам. Особенно плохо LLM справляются с XSS и лог-инъекциями — проходной балл не превышал 13%. Лучше обстоят дела с SQL-инъекциями и криптографическими ошибками: уровень безопасного кода здесь достигал 80–85%.

• Россия опустилась на 8 место в рейтинге DDoS-атак, в лидерах — США и Китай. Во втором квартале 2025 года кибератаки, особенно DDoS, резко активизировались. По данным StormWall, их стало на 108% больше, чем за тот же период в прошлом году. Главная новость — Иран и Израиль впервые ворвались в ТОП-5 самых атакуемых стран. Причина — обострение конфликта между этими странами: атаки шли с обеих сторон и били рекорды по количеству. На первых местах без сюрпризов — США (12,6% от всех атак в мире), Китай (10,4%) и Индия (9,2%). Эти страны всегда в зоне риска из-за своих экономик и участия в политических конфликтах. Например, обострение между Индией и Пакистаном в апреле и мае привело к волне атак на индийские госструктуры. Израиль в этом квартале оказался на 4 месте с долей 8,4%, а Иран сразу за ним — 5 место, 8,1%. Сильное влияние на ситуацию оказали хактивисты, действующие из политических побуждений. Шестое и седьмое места заняли Германия (7,6%) и Великобритания (7,3%). Хакеры атаковали ключевые сферы — от энергетики до финансов — в попытках шантажа, вымогательства и из-за недовольства политикой этих стран.

Инновации.

• Новый рекорд: кубит прожил 1 миллисекунду — квантовый мир ещё никогда не был так стабилен. Финны доказали: трансмон может держаться 1 мс. Физики из Университета Аалто (Финляндия) установили новый мировой рекорд продолжительности когерентного состояния сверхпроводящего кубита — основного элемента квантового компьютера. Им удалось достичь максимального времени когерентности в 1 миллисекунду, а медианное значение составило 0,5 миллисекунды. Это в разы превышает предыдущие показатели, которые редко доходили до 0,6 миллисекунды и обычно были нестабильными. В квантовых вычислениях даже доли миллисекунды имеют значение. Чем дольше кубит остаётся в квантовом состоянии, тем больше операций может выполнить квантовый компьютер до появления ошибок. Как отмечают авторы исследования, такие достижения важны не только для квантовых вычислений, но и для разработки квантовых сенсоров и симуляторов. Ключ к успеху — усовершенствование конструкции и материалов. Исследователи создали новый тип трансмон-кубита — разновидности сверхпроводящего кубита, устойчивой к шуму и широко используемой в современной квантовой технике. Они применили ультрачистые сверхпроводящие плёнки и изготавливали чип в стерильной среде. Элементы схемы были вытравлены методом электронно-лучевой литографии, а критические джозефсоновские переходы, отвечающие за квантовое поведение, изготовлены с высокой точностью. Особое внимание уделялось чистоте материалов и защите от окисления. Даже микроскопические дефекты могут преждевременно разрушить квантовое состояние. Готовый чип охлаждали до температуры, близкой к абсолютному нулю, в установке типа разбавляющего холодильника, а затем использовали специальный усилитель для считывания сигналов без искажений. Из четырёх кубитов на чипе один, обозначенный как Q2, показал особенно выдающиеся характеристики. Он стабильно достигал когерентности свыше миллисекунды в повторных экспериментах, что подтверждает надёжность методики. Подобные результаты уже демонстрировали исследователи, которые смогли добиться того, что сверхпроводящие кубиты удерживают информацию в 10 раз дольше обычного.

Обзор по ИБ подготовил Дмитрий Рожков.